(高清版)DB23∕T 3697-2024 区块链项目安全评估指南

ICS35.240.30CCSL07DB23黑龙江省市场监督管理局发布IDB23/T3697-2024本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由黑龙江省互联网信息办公室提出并归口。本文件起草单位：黑龙江省大数据产业协会、黑龙江亿林网络股份有限公司、哈尔滨财富通科技发展有限公司、中国铁塔股份有限公司哈尔滨市分公司、哈尔滨伟祺科技开发有限公司、工单科技（黑龙江）有限公司、杭州金诚信息安全科技有限公司、中国移动通信集团设计院有限公司黑龙江分公司。本文件主要起草人：孙甲子、李璐昆、杜飞、鞠昆仑、王唯合、李文才、李清洋、苏建洋、刘婷婷、孙传友、纪云龙、冯冬鑫、姜子寒。1DB23/T3697-2024区块链项目安全评估指南本文件给出了区块链项目安全评估的安全体系架构、评估对象、评估与审核、评估流程的指导。本文件适用于黑龙江省区块链项目的安全评估工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T42570信息安全技术区块链技术安全框架3术语和定义GB/T22239和GB/T42570界定的以及下列术语和定义适用于本文件。3.1分布式共识协议分布式系统中用于确保多个节点之间数据一致性的一组算法和规则。3.2拜占庭容错一种容错机制，在分布式系统存在恶意节点的情况下，能够正确地执行其功能并达成一致的决策。3.3鲁棒性系统、模型或算法在面对错误、异常或者不确定性条件时仍能保持其性能和功能的能力。3.4校验和一种校验方法，用于检测数据在存储或传输过程中是否发生了错误。3.5静态代码分析一种代码审查技术，它允许开发者在不实际运行程序的情况下，通过分析源代码的语法、结构和数据流来发现潜在的程序设计错误、安全漏洞和其他问题。3.6形式化验证23DB23/T3697-20243)有明确的环境控制措施。b)数据中心访问控制：1)数据中心实施多层次的访问控制系统，确保只有授权人员能够进入敏感区域；2)使用门禁卡、生物识别技术、安全令牌等技术手段来增强物理访问的安全性。c)数据中心物理防护：1)数据中心的建筑结构能够抵御自然灾害和人为攻击；2)有适当的照明、监控摄像头和警报系统，以防止非法入侵和其他安全威胁。4.2.2硬件设备硬件设备包括：a)监控与报警：1)监控系统能够实时监控所有关键硬件设备的状态和性能；2)报警系统与多级安全响应流程集成，确保及时处理各种安全事件；3)监控与报警系统支持远程访问，以便安全团队能够随时监控情况；4)定期对监控和报警系统进行测试和验证，确保其准确性和可靠性；5)监控数据按照法律、法规进行保存，并在需要时提供给相关监管机构。b)数据清除：1)数据清除过程遵循严格的安全协议，确保数据无法被恢复；2)使用经过认证的数据擦除软件或硬件，以确保数据清除的彻底性；3)数据清除操作有详细的审计跟踪，记录清除的时间、人员和方法；4)定期对存储介质进行安全审查，以确定何时需要进行数据清除；5)数据清除策略包括对所有类型存储介质的处理。c)硬件异构性：1)硬件设备的选择可考虑多样性，以降低单一供应商或技术的风险；2)定期评估硬件的兼容性性能，确保系统的整体安全性和效率；3)有备用硬件清单和快速替换流程，降低硬件故障对业务的影响；4)硬件异构性与软件和网络架构的设计相协调，以实现整体系统安全；5)有明确的硬件更换和升级策略，以适应技术发展和安全需求的变化。4.2.3节点部署安全节点部署安全包括：a)关键节点冗余：1)通过多个地理位置部署关键节点，提高系统的可用性和容错能力；2)冗余节点具备自动故障检测和切换机制，确保服务的连续性；3)定期测试冗余节点的切换流程，确保在紧急情况下能够快速响应；4)冗余节点的配置和管理与主节点保持一致，以确保数据的一致性；5)有明确的冗余节点维护计划，包括定期的软件更新和安全补丁应用。b)机房分布：1)机房分布在不同地理位置，以分散自然灾害和网络攻击的风险；2)机房符合严格的安全标准；3)机房之间有高速网络连接，确保数据同步和通信的效率；4)机房配备专业的运维团队，负责日常管理和应急响应；5)机房有充足的空间和资源，以支持未来的扩展和升级。4DB23/T3697-2024c)数据安全放置：1)数据存储在受保护的区域；2)实施严格的数据访问控制，确保只有授权人员能够访问敏感数据；3)数据存储区域有监控摄像头和其他安全措施，以防止未授权访问；4)定期对数据存储环境进行安全审计，确保符合最新的安全标准；5)数据安全放置策略需考虑对数据备份和恢复，防止数据丢失。d)存储容量可扩展：1)存储系统设计为模块化，以便根据数据增长快速扩展容量；2)有明确的存储容量规划，预测未来数据增长并提前准备资源；3)存储扩展不影响现有系统的运行，确保业务连续性；4)采用高效的存储技术，以优化性能和成本；5)存储容量扩展过程中保持数据的完整性和安全性，避免数据泄露或损坏。4.2.4硬件加密设备安全硬件加密设备安全包括：a)加密设备标准：1)加密设备符合国际加密标准，确保数据加密的强度；2)加密设备通过第三方安全认证，以验证其安全性；3)定期对加密设备进行安全评估和渗透测试，确保没有漏洞；4)加密设备的密钥管理严格规范；5)加密设备支持多因素认证，增加对加密过程的保护。b)个人密码设备：1)个人密码设备采用强认证机制；2)密码设备有防丢失和防篡改功能，确保设备安全；3)有密码设备的注册和跟踪系统，记录设备的分发和使用情况；4)密码设备的使用有明确的策略和程序；5)定期对密码设备进行安全检查和维护，确保其功能正常运行。4.3网络安全层4.3.1防火墙和入侵检测系统防火墙和入侵检测系统包括：a)实时监测网络流量，自动阻止潜在的入侵和攻击；b)根据威胁情报更新规则和策略，提供对新型攻击的及时防御；c)提供实时报警和事件响应，以便快速采取行动应对安全威胁；d)支持流量分析和报告生成，帮助分析网络活动并识别潜在的安全问题；e)集成虚拟化和云环境的安全策略，确保跨平台和跨网络的安全性。4.3.2网络隔离和分段网络隔离和分段包括：a)使用虚拟专用网络隔离不同的网络，减少攻击面；b)配置网络隔离策略，限制网络内部不同区域之间的通信；c)使用虚拟局域网将不同的用户和资源分隔开来，增强网络安全性；d)使用网络隔离设备，实现网络分段和隔离；5DB23/T3697-2024e)实施网络隔离的策略和流程，并进行定期的网络安全审计和评估。4.3.3安全访问控制安全访问控制包括：a)实施强密码策略，用户使用复杂密码，并定期更新密码；b)使用双因素认证或多因素认证来增加用户登录的安全性；c)使用网络访问控制列表和安全组策略，限制网络资源的访问权限；d)实施访问控制策略，根据用户角色和职责授权不同级别的访问权限；e)使用网络入侵防御系统和网络行为分析等技术，检测并阻止未经授权的访问行为。4.4节点安全层4.4.1节点身份验证节点身份验证包括：a)使用公钥基础设施机制，确保节点身份的真实性和合法性；b)实施双向认证，要求节点和网络之间进行相互身份验证；c)使用硬件安全模块来保护和管理节点的私钥，防止私钥泄露和篡改；d)实施节点证书管理策略，及时更新和撤销节点证书；e)使用区块链身份解析服务来验证和管理节点身份。4.4.2节点通信加密节点通信加密包括：a)使用基于传输层安全或安全套接字层的加密协议，对节点之间的通信进行端到端加密；b)实施完整性保护机制，确保通信数据的完整性和真实性；c)定期更新加密算法和协议，以适应新的安全威胁和攻击；d)使用安全套接字层或传输层安全来保护节点之间的通信；e)实施加密密钥管理策略。4.4.3共识机制安全共识机制安全包括：a)实施共识算法的安全审计和评估，确保其能够抵御恶意攻击和操纵；b)使用分布式共识协议来增强共识机制的安全性；c)实施节点投票和验证机制，防止恶意节点对共识过程进行干扰；d)使用拜占庭容错技术来防止恶意节点的攻击；e)定期更新共识算法和协议，以适应新的安全威胁和攻击。4.5数据安全层4.5.1数据加密数据加密包括：a)使用强加密算法，对存储和传输的数据进行加密；b)实施端到端加密，确保数据在传输过程中的机密性和完整性；c)使用数据加密技术对敏感数据进行加密；d)管理加密密钥的生命周期；6DB23/T3697-2024e)实施数据加密策略和流程，确保加密算法和密钥的安全性。4.5.2数据完整性保护数据完整性保护包括：a)使用哈希函数和数字签名技术，确保数据在传输和存储过程中的完整性；b)实施数据签名和验证机制，防止数据被篡改和伪造；c)使用公钥基础设施机制，确保数字证书的真实性和完整性；d)对数据进行校验和检查，以确保数据在传输和存储过程中没有发生损坏；e)实施数据完整性监控和报告机制，及时发现和修复数据完整性问题。4.5.3备份和灾难恢复备份和灾难恢复包括：a)定期进行数据备份，并确保备份数据的安全存储和可靠性；b)制定灾难恢复计划；c)使用冷备份和异地备份策略，确保备份数据不会受到单点故障的影响；d)对备份数据进行加密，以保护备份数据的机密性；e)定期测试和验证备份数据的可用性和完整性，确保在灾难发生时能够及时恢复数据。4.6智能合约安全层4.6.1代码审计代码审计包括：a)使用静态代码分析工具和人工审查技术，检测和修复智能合约中的安全漏洞；b)进行白盒和黑盒测试，模拟各种攻击场景，评估智能合约的安全性；c)使用漏洞挖掘工具，自动发现和修复智能合约中的潜在漏洞；d)建立智能合约审计团队，确保代码质量和安全性；e)制定智能合约漏洞修复和管理的流程，及时更新和修补已知的漏洞。4.6.2正式验证正式验证包括：a)使用形式化验证技术，验证智能合约的正确性和安全性；b)建立形式化验证团队，确保验证的准确性和可靠性；c)使用形式化描述语言，编写可验证的智能合约代码；d)运用数学方法分析和验证智能合约的安全性和正确性；e)建立智能合约形式化验证的流程和规范，确保验证工作的可持续性和一致性。4.6.3漏洞修复和管理漏洞修复和管理包括：a)建立漏洞跟踪和反馈机制，及时掌握智能合约中的安全漏洞信息；b)进行漏洞优先级评估，根据漏洞的严重程度和影响范围，制定修复计划；c)及时更新和修补智能合约，发布修复版本，并通知用户和合约使用方；d)建立漏洞修复的流程和交付机制，确保修复工作的高效和质量；e)对漏洞修复进行跟踪和验证，确保修复的效果和可靠性。7DB23/T3697-20244.7身份和访问管理层4.7.1身份验证和授权身份验证和授权包括：a)实施强身份验证，提供多个验证因素；b)使用标准身份验证协议，确保用户身份的安全验证和授权；c)使用单点登录技术，集中管理和控制用户的身份验证和访问权限；d)实施动态访问控制策略，根据用户行为和上下文信息进行访问控制；e)定期审计和评估用户身份验证和授权策略，确保安全性和合规性。4.7.2多因素认证多因素认证包括：a)实施多因素认证，要求用户提供多个独立的验证因素；b)使用一次性密码技术，生成临时密码来增强用户身份验证的安全性；c)结合硬件安全模块和加密密钥，保护多因素认证的安全性和可靠性；d)定期评估和更新多因素认证策略，以适应新的安全威胁和技术变化；e)提供用户自助设置和管理多因素认证，方便用户使用和管理验证因素。4.7.3密钥管理密钥管理包括：a)使用安全密钥存储和硬件安全模块等技术，安全存储和管理加密密钥；b)实施密钥生命周期管理策略；c)定期更新和轮换密钥，以防止密钥泄露和滥用；d)实施密钥访问控制和审计机制，记录和监控密钥的使用和访问；e)提供密钥恢复和备份机制，确保密钥丢失或损坏时能够恢复和备份。4.8应用和应用程序编程接口安全层4.8.1应用程序编程接口安全应用程序编程接口安全包括：a)实施应用程序编程接口访问控制和授权策略，限制对应用程序编程接口资源的访问权限；b)使用应用程序编程接口密钥和令牌进行身份验证和授权，确保只有授权用户可以访问应用程序编程接口；c)实施应用程序编程接口速率限制和配额管理，防止恶意用户对应用程序编程接口进行滥用和攻击；d)对应用程序编程接口进行输入验证和过滤，防止注入攻击；e)使用应用程序编程接口网关和应用程序编程接口防火墙，对外部访问的应用程序编程接口进行安全加固和防护。4.8.2去中心化应用安全去中心化应用安全包括：a)对去中心化应用的代码进行安全审计和漏洞检测，确保代码的安全性和可靠性；b)实施权限控制和访问控制策略，限制用户对去中心化应用的访问权限；c)对去中心化应用的交互流程进行安全评估和测试，确保用户数据和交易的安全性；8DB23/T3697-2024d)实施用户数据保护策略；e)定期更新和升级去中心化应用的组件和依赖库，修复已知的安全漏洞和问题。4.9安全监控和审计层4.9.1安全监控安全监控包括：a)实时监控网络和系统活动，检测异常行为和潜在的安全威胁；b)使用入侵检测系统和入侵防御系统来检测和阻止入侵和攻击；c)实施行为分析和异常检测技术，识别未知的安全威胁和攻击；d)实施网络流量分析和数据包捕获，以便对网络活动进行深入分析和调查；e)建立安全事件响应中心，对安全事件进行监测、分析和响应。4.9.2日志管理日志管理包括：a)收集、存储和分析日志信息；b)使用日志管理工具和技术进行日志的集中管理和实时分析；c)实施日志保留和归档策略，以满足合规性要求和法律规定；d)实施日志完整性保护和防篡改机制，防止日志被篡改和删除；e)使用日志分析和可视化工具，提取有价值的安全信息和事件。4.9.3应急响应应急响应包括：a)制定应急响应计划和流程，定义安全事件的识别、响应和恢复步骤；b)建立应急响应团队；c)定期进行应急响应演练和模拟演习，提高团队对安全事件的应对能力；d)建立安全事件响应中心，实时监测和响应安全事件；e)实施安全事件调查和事后分析，确定安全事件的原因和影响，采取相应的修复措施。4.10法律合规和政策层4.10.1合规性审查合规性审查包括：a)定期进行合规性评估和审查，确保区块链项目符合相关的法律、法规和行业标准；b)建立合规性框架和流程；c)与法律顾问和合规专家合作，了解和遵守适用的法律和法规要求；d)定期更新合规性要求和政策，以适应新的法律和行业标准；e)提供合规性培训和教育，确保项目团队和用户了解并遵守合规性要求。4.10.2安全政策和程序安全政策和程序包括：a)建立和维护一套完整的安全政策和操作程序；b)提供安全培训，提高员工和用户有关网络安全和合规性的能力；c)实施安全策略的合规性检查和审计，确保安全政策的有效性和合规性；9DB23/T3697-2024d)定期评估和更新安全政策和程序，以适应新的安全威胁和技术变化；e)实施安全审计和报告机制，对安全政策和程序进行监控和评估。5评估对象区块链相关企业运营的区块链项目。6评估与审核6.1物理安全层6.1.1场地安全场地安全包括：a)数据中心位置：1)审核方式：进行现场检查，审查数据中心的地理位置和安全措施；2)预期审核结果：确认数据中心位于指定的高安全区域，且采取了适当的物理安全措施。b)数据中心访问控制：1)审核方式：进行现场检查，审查访问控制策略和程序文档，访问控制系统的配置和操作日志，以及员工和访客的访问记录。进行员工访问权限的抽查，以及审计跟踪功能的测试；2)预期审核结果：访问控制系统按照既定的安全策略工作，所有敏感区域的访问都经过严格的身份验证和授权，并且所有访问活动都有审计记录。c)数据中心物理防护：1)审核方式：审查数据中心的设计和建筑蓝图，进行现场检查，以评估数据中心的抗灾能力。可能需要咨询工程专家来评估建筑的结构强度和设计的适当性；2)预期审核结果：数据中心的建筑设计和结构符合相关的安全标准和建筑规范，能够抵御预期的自然灾害和人为攻击。6.1.2硬件设备硬件设备包括：a)监控与报警：1)审核方式：审查硬件设备的监控系统和报警机制；2)预期审核结果：设备监控系统能够实时监控硬件状态，报警机制能够在异常发生时及时通知相关人员。b)数据清除：1)审核方式：检查数据擦除和设备销毁的流程和记录，验证数据清除的彻底性和不可恢复性；2)预期审核结果：所有重用、报废或更换的设备上的数据均已按照标准流程彻底清除，确保数据不可恢复。c)硬件异构性：1)审核方式：审查硬件配置和采购记录，确保不同节点使用的硬件设备具有多样性，减少单点故障的风险；2)预期审核结果：各节点的硬件设备配置各异，满足异构性要求，增强系统的鲁棒性。6.1.3节点部署安全DB23/T3697-2024节点部署安全包括：a)关键节点冗余：1)审核方式：检查系统架构图和配置文件，验证关键节点是否有冗余部署，以及冗余机制是否有效；2)预期审核结果：关键节点有多个实例运行，即使单个节点故障，系统仍能保持高可用性。b)机房分布：1)审核方式：审查机房布局和节点部署策略，确保共识或记账节点分布在不同的机房；2)预期审核结果：节点分布在多个机房，避免单点机房故障导致的系统不可用。c)数据安全放置：1)审核方式：检查敏感数据存储和访问控制策略，确保敏感数据存储在受保护的内部区域；2)预期审核结果：敏感数据得到妥善保护，存储在安全区域内，访问控制严格。d)存储容量可扩展：1)审核方式：评估存储系统的扩展能力；2)预期审核结果：存储系统设计具有可扩展性，能够随着数据量的增长进行容量扩展，避免容量瓶颈。6.1.4硬件加密设备安全硬件加密设备安全包括：a)加密设备标准：1)审核方式：检查加密设备的认证文件和技术规格，确认其符合相关标准；2)预期审核结果：所有加密设备均通过了国家密码管理部门的认证，满足安全标准。b)个人密码设备：1)审核方式：审查个人密码设备的采购和使用记录，验证其符合行业主管部门和国家密码管理部门的要求；2)预期审核结果：个人密码设备均符合行业和国家的安全要求，且得到正确使用和维护。6.2网络安全层6.2.1防火墙和入侵检测系统防火墙和入侵检测系统包括：a)实时监测网络流量，自动阻止潜在的入侵和攻击：1)审核方式：利用网络监控工具实时监控防火墙和入侵检测系统的日志和警报系统；2)预期审核结果：监控工具显示网络流量被实时监测，所有潜在的入侵和攻击尝试都被自动识别并阻止。b)根据威胁情报更新规则和策略，提供对新型攻击的及时防御：1)审核方式：检查防火墙和入侵检测系统的配置变更记录，确认是否根据最新的威胁情报更新了安全规则；2)预期审核结果：所有安全规则和策略都是最新的，并且与最新的威胁情报相匹配，确保对新型攻击的防御。c)提供实时报警和事件响应，以便快速采取行动应对安全威胁：1)审核方式：通过模拟攻击或审查最近的安全事件日志来测试报警系统的反应时间和响应流程；2)预期审核结果：实时报警系统能够迅速响应安全威胁，事件响应流程得到及时执行，确保快速采取行动。DB23/T3697-2024d)支持流量分析和报告生成，帮助分析网络活动并识别潜在的安全问题：1)审核方式：使用流量分析工具来审查生成的流量报告；2)预期审核结果：流量分析报告提供详细的网络活动信息，帮助识别并解决潜在的安全问题。e)集成虚拟化和云环境的安全策略，确保跨平台和跨网络的安全性：1)审核方式：检查云服务提供商的安全配置和虚拟化环境的安全策略，确保它们与防火墙和入侵检测系统集成；2)预期审核结果：虚拟化和云环境的安全策略得到正确实施，与防火墙和入侵检测系统无缝集成，确保跨平台和跨网络的安全性。6.2.2网络隔离和分段网络隔离和分段包括：a)使用虚拟专用网络隔离不同的网络，减少攻击面：1)审核方式：检查虚拟专用网络配置和连接日志，使用虚拟专用网络分析工具来验证虚拟专用网络的使用情况；2)预期审核结果：虚拟专用网络正确配置并有效隔离不同网络，减少整体的攻击面。b)配置网络隔离策略，限制网络内部不同区域之间的通信：1)审核方式：审查网络策略和访问控制列表，使用网络策略验证工具进行测试；2)预期审核结果：网络隔离策略得到正确配置和执行，确保网络内部不同区域之间的通信受到限制。c)使用虚拟局域网将不同的用户和资源分隔开来，增强网络安全性：1)审核方式：检查虚拟局域网配置和成员列表，使用网络管理工具进行验证；2)预期审核结果：虚拟局域网正确划分，用户和资源得到有效隔离，增强网络安全性。d)使用网络隔离设备，实现网络分段和隔离：1)审核方式：对网络隔离网关和虚拟化安全设备进行安全检查，使用设备管理工具来验证配置；2)预期审核结果：网络隔离网关和虚拟化安全设备正确部署并配置，实现有效的网络分段和e)实施网络隔离的策略和流程，并进行定期的网络安全审计和评估：1)审核方式：审查网络安全审计报告，使用安全评估工具进行定期扫描；2)预期审核结果：网络安全审计和评估显示隔离策略和流程得到妥善实施，定期扫描未发现重大安全漏洞。6.2.3安全访问控制安全访问控制包括：a)实施强密码策略，用户使用复杂密码，并定期更新密码：1)审核方式：使用身份和访问管理工具来检查密码复杂性和更新频率；2)预期审核结果：所有用户都使用符合策略的强密码，并且定期更新。b)使用双因素认证或多因素认证来增加用户登录的安全性：1)审核方式：检查双因素认证或多因素认证的部署情况，使用安全测试工具进行认证流程测试；2)预期审核结果：双因素认证或多因素认证已在所有关键系统上实施，且认证流程安全可靠。c)使用网络访问控制列表和安全组策略，限制网络资源的访问权限：1)审核方式：审查网络访问控制列表和安全组的配置，使用网络访问控制工具进行测试；DB23/T3697-20242)预期审核结果：网络访问控制列表和安全组策略正确配置，确保只有授权用户才能访问网络资源。d)实施访问控制策略，根据用户角色和职责授权不同级别的访问权限：1)审核方式：检查角色基础的访问控制实施情况，使用身份和访问管理工具进行权限审查；2)预期审核结果：访问控制策略得到正确实施，用户根据角色和职责被授予适当的访问权限。e)使用网络入侵防御系统和网络行为分析等技术，检测并阻止未经授权的访问行为：1)审核方式：检查网络入侵防御系统和网络行为分析的配置和事件日志，使用安全监控工具进行分析；2)预期审核结果：网络入侵防御系统和网络行为分析有效运行，能够检测并阻止所有未经授权的访问尝试。6.3节点安全层6.3.1节点身份验证节点身份验证包括：a)使用公钥基础设施机制，确保节点身份的真实性和合法性：1)审核方式：检查公钥基础设施证书颁发机构的证书链，使用证书验证工具来验证节点证书的有效性；2)预期审核结果：所有节点的证书都是由可信证书颁发机构签发，证书链完整，且证书未过期或未被撤销。b)实施双向认证，要求节点和网络之间进行相互身份验证：1)审核方式：通过模拟通信会话，使用网络协议分析工具来观察和验证双向认证的过程；2)预期审核结果：节点和网络在建立通信之前成功完成双向认证，确保双方身份的真实性。c)使用硬件安全模块来保护和管理节点的私钥，防止私钥泄露和篡改：1)审核方式：审查硬件安全模块的安全策略和访问日志，使用硬件安全模块管理软件来检查私钥的存储和使用情况；2)预期审核结果：私钥安全地存储在硬件安全模块中，访问控制严格，没有未授权的访问或使用记录。d)实施节点证书管理策略，及时更新和撤销节点证书：1)审核方式：检查证书管理记录和更新日志，使用证书管理工具来跟踪证书的生命周期；2)预期审核结果：证书管理策略得到有效执行，所有证书都是最新的，过期或不安全的证书已被及时撤销和更新。e)使用区块链身份解析服务来验证和管理节点身份：1)审核方式：通过区块链身份解析服务平台验证节点的去中心化身份标识，检查与区块链上的记录是否匹配；2)预期审核结果：所有节点的去中心化身份标识在区块链上可验证，身份解析服务能够正确管理和验证节点身份。6.3.2节点通信加密节点通信加密包括：a)使用基于传输层安全或安全套接字层的加密协议，对节点之间的通信进行端到端加密：1)审核方式：使用加密协议测试工具来测试传输层安全或安全套接字层的配置和加密强度；2)预期审核结果：节点之间的通信通过传输层安全或安全套接字层加密，数据传输过程中未发现任何未加密的信息。DB23/T3697-2024b)实施完整性保护机制，确保通信数据的完整性和真实性：1)审核方式：检查数据传输过程中的哈希和签名机制，使用安全审计工具来验证数据的完整2)预期审核结果：所有传输的数据都有完整性校验，未发现数据篡改的迹象。c)定期更新加密算法和协议，以适应新的安全威胁和攻击：1)审核方式：审查系统和应用程序的更新日志，确认加密算法和协议的版本是否为最新的安全标准；2)预期审核结果：加密算法和协议保持最新，能够抵御当前已知的安全威胁。d)使用安全套接字层或传输层安全来保护节点之间的通信：1)审核方式：通过配置审查和安全扫描工具来检查安全套接字层或传输层安全的配置和使用情况；2)预期审核结果：安全套接字层或传输层安全正确配置并启用，确保了节点之间通信的安全e)实施加密密钥管理策略：1)审核方式：检查密钥管理政策和实践，使用密钥管理工具来审计密钥的生命周期管理；2)预期审核结果：密钥管理策略得到有效执行，密钥的生成、分发和存储过程安全可控，符合最佳实践。6.3.3共识机制安全共识机制安全包括：a)实施共识算法的安全审计和评估，确保其能够抵御恶意攻击和操纵：1)审核方式：通过代码审查和自动化安全扫描工具对共识算法的实现进行审计。同时，使用渗透测试工具模拟攻击场景，评估算法的安全性；2)预期审核结果：审计和评估结果显示共识算法没有明显的安全漏洞，能够抵御常见的恶意攻击和操纵，且所有潜在的风险都已得到适当的缓解措施。b)使用分布式共识协议来增强共识机制的安全性：1)审核方式：检查分布式共识协议的文档和实现细节，确保协议被正确地集成和执行。使用网络协议分析工具监控和分析网络通信，验证协议的运行情况；2)预期审核结果：分布式共识协议得到正确实施，节点间的通信和数据一致性得到保障，共识机制的安全性得到增强。c)实施节点投票和验证机制，防止恶意节点对共识过程进行干扰：1)审核方式：审查节点投票和验证机制的实现代码，使用模拟工具创建测试网络来模拟投票过程，确保投票的公正性和有效性；2)预期审核结果：节点投票和验证机制按预期工作，恶意节点无法对共识过程产生干扰，共识结果的合法性和准确性得到保证。d)使用拜占庭容错技术来防止恶意节点的攻击：1)审核方式：对采用的拜占庭容错技术协议进行形式化验证，使用模型检验工具来检查协议的规范和正确性。通过故障注入工具模拟恶意节点行为，测试系统的容错能力；2)预期审核结果：拜占庭容错技术协议能够正确处理拜占庭故障，即使在恶意节点存在的情况下，系统也能维持正常的共识过程和数据一致性。e)定期更新共识算法和协议，以适应新的安全威胁和攻击：1)审核方式：建立一个持续的监控和评估流程，使用安全信息和事件管理系统来跟踪安全威胁。当新的威胁出现时，及时对共识算法和协议进行审查和更新；DB23/T3697-20242)预期审核结果：共识算法和协议保持最新，能够适应新出现的安全威胁和攻击手段，系统的安全性得到持续保障。6.4数据安全层6.4.1数据加密数据加密包括：a)使用强加密算法，对存储和传输的数据进行加密：1)审核方式：使用加密强度测试工具对加密算法的实施情况进行测试，并通过安全审计工具检查加密算法的配置；2)预期审核结果：所有敏感数据均使用AES-256或同等强度的算法进行了加密，加密配置正确无误。b)实施端到端加密，确保数据在传输过程中的机密性和完整性：1)审核方式：通过网络监控工具捕获并分析传输数据，确认数据在传输过程中是否被加密；2)预期审核结果：传输过程中的数据被有效加密，端到端加密策略得到正确实施，确保了数据的机密性和完整性。c)使用数据加密技术对敏感数据进行加密：1)审核方式：检查数据库和文件系统的加密设置，使用加密验证工具对加密状态进行验证；2)预期审核结果：所有敏感数据存储在加密的数据库和文件系统中，加密措施得到妥善执行。d)管理加密密钥的生命周期：1)审核方式：审查密钥管理政策和实践，使用密钥管理工具来跟踪密钥的生命周期；2)预期审核结果：密钥的生成、分发、存储和撤销过程符合安全标准，密钥管理得到有效控制。e)实施数据加密策略和流程，确保加密算法和密钥的安全性：1)审核方式：通过内部审计和合规性检查来评估数据加密策略和流程的实施情况；2)预期审核结果：数据加密策略和流程得到有效执行，加密算法和密钥的安全性得到保证。6.4.2数据完整性保护数据完整性保护包括：a)使用哈希函数和数字签名技术，确保数据在传输和存储过程中的完整性：1)审核方式：检查数据传输和存储过程中的哈希函数和签名机制，使用安全审计工具进行完整性验证；2)预期审核结果：所有关键数据在传输和存储过程中都使用了哈希函数和数字签名技术，确保数据的完整性。b)实施数据签名和验证机制，防止数据被篡改和伪造：1)审核方式：通过模拟攻击和安全测试工具来测试数据签名的有效性；2)预期审核结果：数据签名机制能够有效防止数据篡改和伪造，所有签名验证均通过。c)使用公钥基础设施机制，确保数字证书的真实性和完整性：1)审核方式：审查公钥基础设施证书的颁发和撤销记录，使用证书验证工具来验证证书的有效性；2)预期审核结果：所有数字证书均由可信证书授权中心签发，证书的真实性和完整性得到保证。d)对数据进行校验和检查，以确保数据在传输和存储过程中没有发生损坏：1)审核方式：使用数据完整性检查工具来监控和验证数据的校验和；DB23/T3697-20242)预期审核结果：数据校验和检查显示数据在传输和存储过程中未发生损坏，所有数据保持一致。e)实施数据完整性监控和报告机制，及时发现和修复数据完整性问题：1)审核方式：通过安全信息和事件管理系统监控数据完整性事件，并定期生成报告；2)预期审核结果：数据完整性监控和报告机制有效运行，所有数据完整性问题均被及时发现并得到修复。6.4.3备份和灾难恢复备份和灾难恢复包括：a)定期进行数据备份，并确保备份数据的安全存储和可靠性：1)审核方式：检查备份计划和日志，使用备份验证工具来验证备份数据的完整性；2)预期审核结果：备份操作按计划执行，备份数据完整且存储在安全的位置。b)制定灾难恢复计划：1)审核方式：审查灾难恢复计划文档，并通过模拟灾难情况来测试恢复流程的有效性；2)预期审核结果：灾难恢复计划详尽且实用，所有关键环节均经过验证，灾难演练表明恢复流程可行。c)使用冷备份和异地备份策略，确保备份数据不会受到单点故障的影响：1)审核方式：检查备份存储的地理位置和备份策略，确保存在多个备份副本；2)预期审核结果：备份数据分布在多个地理位置，有效避免单点故障的风险。d)对备份数据进行加密，以保护备份数据的机密性：1)审核方式：检查备份数据的加密状态，使用加密验证工具来确认加密措施的实施；2)预期审核结果：所有备份数据均已加密，机密性得到保护。e)定期测试和验证备份数据的可用性和完整性，确保在灾难发生时能够及时恢复数据：1)审核方式：执行定期的备份数据恢复测试，使用数据恢复工具来验证数据的可用性；2)预期审核结果：备份数据的恢复测试成功，验证备份数据的可用性和完整性，确保在紧急情况下能够快速恢复。6.5智能合约安全层6.5.1代码审计代码审计包括：a)使用静态代码分析工具和人工审查技术，检测和修复智能合约中的安全漏洞：1)审核方式：采用静态代码分析工具自动扫描智能合约代码，同时组织专业人员进行细致的代码审查；2)预期审核结果：所有已知的安全漏洞被识别并修复，代码质量和安全性得到提升。b)进行白盒和黑盒测试，模拟各种攻击场景，评估智能合约的安全性：1)审核方式：通过渗透测试工具进行自动化的白盒和黑盒测试；2)预期审核结果：智能合约能够抵御测试中模拟的各种攻击，安全性得到验证。c)使用漏洞挖掘工具，自动发现和修复智能合约中的潜在漏洞：1)审核方式：运用自动化漏洞挖掘工具对智能合约进行分析，寻找潜在的安全漏洞；2)预期审核结果：潜在的漏洞被及时发现并修复，智能合约的安全性得到加强。d)建立智能合约审计团队，确保代码质量和安全性：1)审核方式：检查安全专家和开发人员组成的审计团队，是否定期对智能合约进行审查和讨DB23/T3697-20242)预期审核结果：审计团队提高了代码的安全性和可靠性，减少了漏洞的出现。e)制定智能合约漏洞修复和管理的流程，及时更新和修补已知的漏洞：1)审核方式：建立标准化的漏洞管理流程；2)预期审核结果：所有已知漏洞都按照流程得到及时处理，智能合约的安全性持续改进。6.5.2正式验证正式验证包括：a)使用形式化验证技术，验证智能合约的正确性和安全性：1)审核方式：采用形式化验证工具对智能合约进行数学证明和模型检查；2)预期审核结果：智能合约的逻辑被证明是正确的，确保合约的安全性和无误差性。b)建立形式化验证团队，确保验证的准确性和可靠性：1)审核方式：组建跨学科的团队，共同参与智能合约的形式化验证工作；2)预期审核结果：团队的专业知识确保验证过程的准确性和可靠性。c)使用形式化描述语言，编写可验证的智能合约代码：1)审核方式：选择适合形式化验证的编程语言编写智能合约，并确保代码清晰、规范；2)预期审核结果：智能合约代码易于进行形式化验证，提高验证的效率和准确性。d)运用数学方法分析和验证智能合约的安全性和正确性：1)审核方式：通过数学分析方法来验证智能合约的安全性和正确性；2)预期审核结果：智能合约的数学模型被证明是正确的，增强合约的安全性保证。e)建立智能合约形式化验证的流程和规范，确保验证工作的可持续性和一致性：1)审核方式：制定形式化验证的标准流程和规范，确保每次验证都遵循相同的高标准；2)预期审核结果：形式化验证流程的标准化提高了验证工作的效率和一致性，确保智能合约的长期安全性。6.5.3漏洞修复和管理漏洞修复和管理包括：a)建立漏洞跟踪和反馈机制，及时掌握智能合约中的安全漏洞信息：1)审核方式：使用漏洞跟踪系统来记录、分类和跟踪智能合约的安全漏洞；2)预期审核结果：所有报告的漏洞都被记录和跟踪，及时响应和处理。b)进行漏洞优先级评估，根据漏洞的严重程度和影响范围，制定修复计划：1)审核方式：通过安全评估工具对漏洞进行评分和优先级排序，制定相应的修复计划；2)预期审核结果：漏洞根据严重性和影响范围得到合理排序，修复工作有序进行。c)及时更新和修补智能合约，发布修复版本，并通知用户和合约使用方：1)审核方式：通过版本控制系统管理智能合约的更新和修补，使用自动化部署工具发布新版本；2)预期审核结果：智能合约及时更新，漏洞得到修补，用户和使用方得到通知并迁移到安全版本。d)建立漏洞修复的流程和交付机制，确保修复工作的高效和质量：1)审核方式：制定详细的漏洞修复流程；2)预期审核结果：漏洞修复流程清晰高效，修复质量得到保证，减少新漏洞的产生。e)对漏洞修复进行跟踪和验证，确保修复的效果和可靠性：1)审核方式：通过回归测试和再次进行安全审计来验证漏洞修复的效果；2)预期审核结果：所有修复的漏洞经过验证，确保修复的有效性和可靠性。DB23/T3697-20246.6身份和访问管理层6.6.1身份验证和授权身份验证和授权包括：a)实施强身份验证，提供多个验证因素：1)审核方式：检查身份验证系统的配置，确认是否集成了多因素认证解决方案，并通过实际操作测试验证流程；2)预期审核结果：用户在登录过程提供至少两种或以上的身份验证因素，确保身份验证的强度。b)使用标准身份验证协议，确保用户身份的安全验证和授权：1)审核方式：审查身份验证协议的实施情况，使用协议分析工具测试开放授权和开放ID连接的实现；2)预期审核结果：所有用户身份验证和授权过程均通过标准的安全协议进行，确保认证的安全性和一致性。c)使用单点登录技术，集中管理和控制用户的身份验证和访问权限：1)审核方式：评估单点登录技术的部署情况，使用访问监控工具检查单点登录的效率和效果；2)预期审核结果：用户能够通过单点登录访问所有授权的资源，简化访问管理并提高用户体验。d)实施动态访问控制策略，根据用户行为和上下文信息进行访问控制：1)审核方式：检查访问控制策略的配置和执行情况，使用行为分析工具监控用户行为；2)预期审核结果：访问控制策略能够根据用户的行为模式和环境上下文动态调整，有效防止未授权访问。e)定期审计和评估用户身份验证和授权策略，确保安全性和合规性：1)审核方式：执行定期的安全审计，使用合规性管理工具评估策略的有效性；2)预期审核结果：审计发现身份验证和授权策略符合安全标准和法规要求，及时发现并修复潜在的安全漏洞。6.6.2多因素认证多因素认证包括：a)实施多因素认证，要求用户提供多个独立的验证因素：1)审核方式：检查多因素认证的部署情况，使用安全测试工具模拟攻击以测试多因素认证的有效性；2)预期审核结果：用户在访问敏感资源时至少通过两种独立验证因素，显著提高账户的安全b)使用一次性密码技术，生成临时密码来增强用户身份验证的安全性：1)审核方式：审查一次性密码生成和分发机制，使用安全监控工具跟踪一次性密码的使用情2)预期审核结果：一次性密码有效生成并安全分发给用户，且一次性使用后即失效，减少被截获和重用的风险。c)结合硬件安全模块和加密密钥，保护多因素认证的安全性和可靠性：1)审核方式：检查硬件安全模块的配置和管理，使用密钥管理工具验证密钥的安全性；2)预期审核结果：硬件安全模块和加密密钥得到妥善管理，确保多因素认证过程中密钥的安全性和可靠性。DB23/T3697-2024d)定期评估和更新多因素认证策略，以适应新的安全威胁和技术变化：1)审核方式：执行定期的安全评估，使用风险管理工具分析多因素认证策略的风险；2)预期审核结果：多因素认证策略根据最新的安全威胁和技术发展进行更新，保持其有效性和安全性。e)提供用户自助设置和管理多因素认证，方便用户使用和管理验证因素：1)审核方式：检查用户自助服务平台的功能和可用性，使用用户体验测试工具评估服务的易用性；2)预期审核结果：用户能够轻松设置和管理自己多因素认证的验证因素，提高用户的便利性和满意度。6.6.3密钥管理密钥管理包括：a)使用安全密钥存储和硬件安全模块等技术，安全存储和管理加密密钥：1)审核方式：审查密钥存储解决方案的安全性，使用密钥管理审计工具检查安全密钥存储和硬件安全模块的实施情况；2)预期审核结果：所有加密密钥均安全存储在安全密钥存储或硬件安全模块中，且访问控制严格，确保密钥的机密性和完整性。b)实施密钥生命周期管理策略：1)审核方式：检查密钥管理政策和实践，使用密钥生命周期管理工具跟踪密钥的整个生命周2)预期审核结果：密钥的生成、分发、存储和撤销过程符合安全标准，密钥在整个生命周期中的管理得到有效控制。c)定期更新和轮换密钥，以防止密钥泄露和滥用：1)审核方式：审查密钥轮换记录和计划，使用自动化脚本或工具检查密钥更新的频率和过程；2)预期审核结果：密钥定期更新和轮换，减少因密钥泄露导致的安全风险。d)实施密钥访问控制和审计机制，记录和监控密钥的使用和访问：1)审核方式：检查密钥访问控制列表和审计日志，使用安全信息和事件管理系统监控密钥访2)预期审核结果：密钥访问得到严格控制，所有密钥使用和访问活动都被记录和监控，便于发现和调查异常行为。e)提供密钥恢复和备份机制，确保密钥丢失或损坏时能够恢复和备份：1)审核方式：检查密钥备份和恢复流程，使用备份验证工具测试备份的完整性和可恢复性；2)预期审核结果：密钥备份机制有效，能够在密钥丢失或损坏时快速可靠地进行恢复。6.7应用和应用程序编程接口安全层6.7.1应用程序编程接口安全应用程序编程接口安全包括：a)实施应用程序编程接口访问控制和授权策略，限制对应用程序编程接口资源的访问权限：1)审核方式：使用应用程序编程接口管理工具审查应用程序编程接口的访问控制列表和授权策略；2)预期审核结果：所有应用程序编程接口调用都符合定义的访问控制策略，未授权的访问尝试被有效阻止。DB23/T3697-2024b)使用应用程序编程接口密钥和令牌进行身份验证和授权，确保只有授权用户可以访问应用程序编程接口：1)审核方式：检查应用程序编程接口密钥和令牌的生成、分发和使用流程，使用自动化测试工具进行身份验证测试；2)预期审核结果：所有应用程序编程接口请求都包含有效的应用程序编程接口密钥或令牌，身份验证和授权机制按预期工作。c)实施应用程序编程接口速率限制和配额管理，防止恶意用户对应用程序编程接口进行滥用和攻击：1)审核方式：通过应用程序编程接口网关的监控功能检查速率限制和配额设置；2)预期审核结果：应用程序编程接口的使用符合设定的速率限制和配额，有效防止了滥用和攻击。d)对应用程序编程接口进行输入验证和过滤，防止输入验证和注入攻击：1)审核方式：使用代码审查工具检查应用程序编程接口端点的输入验证逻辑，并通过渗透测试工具测试潜在的注入漏洞；2)预期审核结果：应用程序编程接口的输入得到有效验证和过滤，没有发现输入验证或注入攻击的漏洞。e)使用应用程序编程接口网关和应用程序编程接口防火墙，对外部访问的应用程序编程接口进行安全加固和防护：1)审核方式：检查应用程序编程接口网关和应用程序编程接口防火墙的配置和日志；2)预期审核结果：应用程序编程接口网关和防火墙正确配置，能够拦截恶意流量并对应用程序编程接口请求进行安全加固。6.7.2去中心化应用安全去中心化应用安全包括：a)对去中心化应用的代码进行安全审计和漏洞检测，确保代码的安全性和可靠性：1)审核方式：使用智能合约审计平台和自动化测试框架进行代码审计和漏洞检测；2)预期审核结果：去中心化应用代码通过审计，没有发现安全漏洞，代码的安全性和可靠性得到保证。b)实施权限控制和访问控制策略，限制用户对去中心化应用的访问权限：1)审核方式：检查去中心化应用的权限控制逻辑，使用权限测试工具进行权限测试；2)预期审核结果：用户访问去中心化应用时受到严格的权限控制，未授权的用户无法执行敏感操作。c)对去中心化应用的交互流程进行安全评估和测试，确保用户数据和交易的安全性：1)审核方式：通过模拟攻击和安全测试工具对去中心化应用的交互流程进行测试；2)预期审核结果：去中心化应用的交互流程能够抵御常见的安全威胁，用户数据和交易得到有效保护。d)实施用户数据保护策略：1)审核方式：检查数据存储和传输的安全措施，使用数据泄露防护工具检查加密实施情况；2)预期审核结果：用户数据在存储和传输过程中得到加密保护，隐私得到维护，访问控制得到执行。e)定期更新和升级去中心化应用的组件和依赖库，修复已知的安全漏洞和问题：1)审核方式：使用依赖管理工具监控去中心化应用的依赖库，执行定期的安全更新；DB23/T3697-20242)预期审核结果：所有已知的安全漏洞和问题都得到及时修复，去中心化应用的安全性得到持续改进。6.8安全监控和审计层6.8.1安全监控安全监控包括：a)实时监控网络和系统活动，检测异常行为和潜在的安全威胁：1)审核方式：使用实时监控工具监控网络流量和系统活动，设置阈值和警报机制；2)预期审核结果：监控系统能够实时捕获并报告异常行为和安全威胁。b)使用入侵检测系统和入侵防御系统来检测和阻止入侵和攻击：1)审核方式：检查入侵检测系统或入侵防御系统的配置和事件日志，使用测试工具模拟攻击以验证其有效性；2)预期审核结果：入侵检测系统或入侵防御系统正确配置并有效运行，能够识别和阻止已知的攻击模式。c)实施行为分析和异常检测技术，识别未知的安全威胁和攻击：1)审核方式：利用行为分析工具分析用户和系统行为，寻找异常模式；2)预期审核结果：行为分析能够揭示潜在的未知威胁，及时发出预警并采取预防措施。d)实施网络流量分析和数据包捕获，以便对网络活动进行深入分析和调查：1)审核方式：使用流量分析工具捕获和分析网络流量，检查异常通信和潜在威胁；2)预期审核结果：网络流量分析提供了详细的网络活动视图，有助于识别和解决安全问题。e)建立安全事件响应中心，对安全事件进行监测、分析和响应：1)审核方式：评估安全事件响应中心的组织结构、流程和工具，确保其能够有效响应安全事件；2)预期审核结果：安全事件响应中心具备快速响应能力，能够及时处理和解决安全事件。6.8.2日志管理日志管理包括：a)收集、存储和分析日志信息：1)审核方式：检查日志收集和存储系统的配置，使用日志分析工具进行实时分析；2)预期审核结果：所有关键系统和网络设备均配置了日志记录，日志信息得到完整收集和安全存储。b)使用日志管理工具和技术进行日志的集中管理和实时分析：1)审核方式：审查日志管理工具的部署和使用情况；2)预期审核结果：日志管理工具能够有效地集中管理日志，提供实时分析和报告功能。c)实施日志保留和归档策略，以满足合规性要求和法律规定：1)审核方式：检查日志保留政策和归档流程，确保符合相关法规和标准；2)预期审核结果：日志保留和归档策略得到妥善实施，满足合规性和法律要求。d)实施日志完整性保护和防篡改机制，防止日志被篡改和删除：1)审核方式：使用日志完整性检查工具验证日志的完整性和防篡改措施；2)预期审核结果：日志完整性得到保护，未发现篡改或删除的迹象。e)使用日志分析和可视化工具，提取有价值的安全信息和事件：1)审核方式：评估日志分析工具的输出和可视化报告，确保其能够提供有用的安全洞察；2)预期审核结果：日志分析工具能够生成清晰的安全报告，帮助识别和响应安全事件。DB23/T3697-20246.8.3应急响应应急响应包括：a)